利用iStoreOS实现旁路由
本文首发于微信公众号CyberGua7d,此为存档记录
前言
为什么要用旁路由?
旁路由其实是有着诸多争议的一个说法,这里为什么会考虑用来做旁路由呢?为什么不直接给主路由刷成软路由再进行代理配置呢?
主要是有以下三点:
一、刷机后的主路由有明显的信号衰减
一台刷机成openwrt诸如此类的系统后,它本质上还是一个无线路由器。 在日常使用过程中仍要考虑无限质量和性能。
在绝大部分的的硬路由刷机后无线性能衰减是一个非常严重的通病,因为第三方固件系统并不能发挥原厂系统适配的特定功能造成性能浪费。
如下图所示
用Wifiman跑出来的信号热力覆盖图可以更直观的看到原厂固件与第三方固件的信号范围有着明显的差别,在实际体验中感观更加明显。
二、刷机后的路由器温控不好
在刷过第三方固件的硬路由日常使用中,如果有大流量数据或者多设备环境下,温控与原厂的相比直线上升到50°左右,此时还是在没有涉及网盘加解密场景下。
这样会造成明显的网络延迟和卡顿,如果想要给路由器降温还得自己外加风扇吹路由器或者各种方式对路由器降温,虽然也能用但是明显违背了我们将其作为无线路由器在日常生活中使用的初衷。
三、主路由刷软路由会破坏原有的网络结构
其实最重要的也就是这一点,在家庭日常生活中我们都是通过PPPOE进行拨号上网,如果你是独居没有其他人会访问网络当然可以直接将软路由作为主路由使用。
但在大部分家庭中,如父母孩子,亲戚朋友来到家里会使用你的wifi,这时候你不可能让他们直接连接你的wifi在google上冲浪吧。
还有如果直接作为主路由来访问会造成国内一些限制地区的网站无法访问,即使我们想到去设置白名单配置规则绕过,那还有一些国内小众网站你不可能一个个都去收集编译规则。如果你还有智能家居设备当然也会出现影响。
综上所述,如果我们想要一台既有着稳定的无线信号,足够用的加解密性能,有着多千兆网口的情况下还能刷成openwrt系统或其他二开的系统不浪费性能,在目前市面上是基本没有的,即使有价格也当然不低,要是有足够的预算也就没必要折腾这些东西了。
解决方法
所以这里在综合考虑了各方面因素后,我们使用 旁路 就可以解决上述出现的这三种问题,最重要的是不会破坏我们现有的网络结构,通过特定的配置就可以控制家里长辈客人或智能家居设备。
这里选择使用基于openwrt二开的iStoreOS是因为这个固件能充分的发挥出OECT这个设备应有的性能,并且要想使其在USB外接无线AP变成主路由使用的情况下能做到信号没有明显衰减。
选择OECT不选择OEC主要是因为多了2G的运存,一共就是4G运存+8G内部存储。而OES虽然芯片升级了性能更强并且有3盘位sata存储还有散热风扇,但是USB是2.0如果后期想要插无线AP明显是不行了,并且价格现在已经突破百元了,并且风扇的散热功能也让人一言难尽。
所以本人认为在百元以内OECT是极具性价比的一款可刷机做轻nas的设备,作为旁路由或主路由使用性能也是戳戳有余。价格方面更是打动人心的一点,小黄鱼90淘的OECT,TB上20淘个硬盘一共130配置一台高可玩性的轻nas,这么香还要啥自行车啊😋
需要注意一点,如果对数据有严格的要求还是建议买个正经的nas,毕竟是给设备刷机不能保证后续使用不出现什么奇奇怪怪的问题。
缺点
这里要说明一点,旁路由并不是一个标准的网络拓扑结构,可能会出现各种无法预料的问题,并且随着网络结构越复杂出问题的概率越大。
所以我选择使用旁路由是因为它符合我要求的小型网络环境,我撰写这篇这篇旁路由利用也是给大家一个启示,我们选择一个方法公认最好的不一定最适合,一定要选择让自己舒服适合自己的解决方法。
免责声明:此文档里所有使用的工具均来自互联网收集,仅限学习测试使用,如有侵权联删。
1.环境
任意刷入iStoreOS的OEC或OECT,一个刷成 ext4格式 的sata固态,主路由器,代理节点。
建议关闭主路由的IPV6模式
主路由和旁路由不能同时存在两个DHCP服务!
2.旁路由配置
默认情况下谁提供DHCP服务,DNS和网关就是谁。
如果设备可以的话还是建议用主路由来设置DHCP下方网关
2.1主路由不提供设置DHCP网关,旁路由设置提供DHCP服务
进入网络向导选择配置为旁路由
直接点击自动配置,可以看到成功获取到了设备信息,如果不行就根据提示来操作。
点击自动填写,可以看到这里自动勾选了我们想要的DHCP服务,根据它的提示我们要去关闭主路由的DHCP服务,统一由旁路由来提供,再勾选上‘开启NAT’。
设置旁路由IP地址,要和主路由在同一C段下,旁路由网关地址和DNS服务器设置为主路由的网关地址,保存配置。
来到接口位置查看,一般这样配置过后就不会勾选“忽略此接口”,如果勾选了要关掉。
ping一下百度,可以看到能通,到此初期配置成功
2.2主路由设置DHCP网关,旁路由不提供DHCP服务
与前面方法1不同,在配置旁路由的地方要把提供DHCP服务的勾选取消掉
点击保存配置后,前往主路由的管理界面,将其DHCP分配服务的网关设置为旁路由的IP地址,点击保存。
回到旁路由的网络诊断,测试ping通百度,到此初期配置成功。
3.passwall配置
oetc是arm架构的,不放心也可以自己去查看
去下载对应系统版本的代理工具 passwall 这个istore里没有提供。选择手动安装上传对应的软件包,等待自动执行成功。
3.1节点配置
可以看到在服务中已经多出了PassWall,选择节点订阅来添加订阅链接。我这里为了防止节点证书过期勾选了允许不安全链接并且开启了自动更新订阅,如果默认提供的UA更新不了订阅可以自己设置UA,可根据自己的需要按需开启。
点击保存并应用,然后点击手动订阅
等待订阅完成后回到基本设置页面,开启主开关,TCP节点按需选择,UDP节点要与TCP节点保持一致,端口如果冲突了可以自己设置一个,取消默认的“TCP 节点 Socks 本机监听”。
点击保存并应用后,来检测可以发现全通,已成功实现代理访问。
3.2主路由DHCP服务
如果配置的主路由进行DHCP服务分配,那么不用重启网卡和重新链接wifi也能访问,因为主机分配的还是之前的DHCP服务,而我们利用的就是主路由进行DHCP服务,旁路由关闭DHCP服务。
可以看到在重启网卡后,默认网关变成了我们配置的旁路由IP地址,DHCP服务器还是主路由自己,此时只要使用了DHCP自动分配的设备都可以进行代理,我们来尝试主机无代理访问Google,发现可以正常使用。
3.3旁路由DHCP服务
如果这时回到我们的电脑或移动设备还是不能正常访问的因为之前主路由的DHCP租约未到期,我们需要让设备获得现在旁路由分配的DHCP服务
是电脑就重启对应连接主路由的网卡,移动设备则断开wifi重新连接重新分配DHCP
可以看到在重启网卡后,默认网关以及DHCP服务都变成了我们配置的旁路由IP地址,此时只要使用了DHCP自动分配的设备都可以进行代理,我们来尝试主机无代理访问Google,发现可以正常使用。
4.利用旁路由DHCP服务实现设备分流
iStoreOS是基于OpenWRT进行二开的,而OpenWRT默认使用DNSMASQ提供DHCP和DNS服务,它们支持为不同设备分配不同网关。
而普通的路由器一般不支持这个操作,所以无法对设备进行针对性的分流,而利用旁路由更适合我日常生活中的网络环境。
4.1大部分设备走代理
如果在旁路由进行DHCP分配服务的情况下,在iStoreOS里找到DHCP的静态地址分配,看到自动获取到连接设备的地址信息,因为此时提供DHCP服务的是旁路由。
如果此时我们想让手机不走旁路由代理,而电脑可以正常走代理,那么此时我们只需要对手机进行 MAC地址静态绑定到主路由的IP地址作为网关 即可实现不走代理。这里需要注意的是开启了随机mac,并不影响做mac静态绑定,因为随机mac一般是根据ssid,也就是wifi的名称,相同ssid的mac是一样的(如果太长时间没连接,mac可能会改变)
这里我们点击添加,主机名自己设置我这里设置的是设备名,然后找到需要直连的设备MAC地址进行添加,我们需要手动填写下方设备的IPV4地址可以设置一个好记的或者与mac地址对应的IP相同都可以,然后给一个直观方便记忆的标签,点击保存应用。
再到接口中的网口编辑,选择DHCP服务器中的高级设置,指定我们刚刚创建的标签,这里的格式可以从官方文档中查询得到。
再配置的DHCP选项为
tag:direct,3,192.168.1.1
这个规则的意思是,所有标签为direct的设备给他分配的网关为192.168.1.1,就是我的主路由IP,3表示设置网关。
tag:direct,6,192.168.1.1
这个规则的意思是,所有标签为direct的设备给他分配的DNS为192.168.1.1,就是我的主路由IP,6表示设置DNS。
所以在这里我们配置过后,所有击中标签的的设备全都走直连,其他不在标签里的设备还是默认的谁提供DHCP服务,网关就是谁。点击保存并应用。
然后我们再重启手机的wifi,如果是电脑就重启网卡。可以看到此时我的手机网关已经变成了主路由的地址。
而我的电脑的网关,DHCP和DNS还是旁路由的地址。
可以看到此时我的手机只能走直连访问,数据不会经过旁路由直接发送给了主路由网关。
如果还要对其他设备进行分流那还是一样的重复操作即可。
至此已经成功实现对小部分设备直连大部分设备代理网络环境配置。
4.2小部分设备走代理
其实这个与 4.1大部分设备走代理 并无太大不同。
这里为了方便区分更改一下标签,这个标签可以任意命名,点击保存。
再到接口中的网口编辑,选择DHCP服务器中的高级设置,指定我们刚刚创建的标签,这里的格式可以从官方文档中查询得到。
再配置的DHCP选项为
tag:!proxy,3,192.168.1.1
这个规则的意思是,所有标签不为proxy的设备给他分配的网关为192.168.1.1,就是我的主路由IP,3表示设置网关。
tag:!proxy,6,192.168.1.1
这个规则的意思是,所有标签不为proxy的设备给他分配的DNS为192.168.1.1,就是我的主路由IP,6表示设置DNS。
这里我只设置了手机的标签为proxy,也就是说其他设备的网关都会分配主路由的IP也就是不经过旁路由。
重启手机wifi和电脑网卡后,可以看到此时我的手机网关已经变成了旁路由的地址。
而我的电脑的网关和DNS变成了主路由的地址。
那为什么这里的DHCP还是旁路由地址呢?我们要搞明白,在前面我讲过默认情况下DHCP服务是谁网关和DNS就是谁,但是这里我们在192.168.1.102也就是旁路由DHCP服务上对设备进行了分流,所以才会出现这样的情况。
可以看到此时我的手机只能走直连访问,数据不会经过旁路由直接发送给了主路由网关。
5.总结
在经过上述的网络环境布置后,我们已经成功的利用旁路由对家庭网络环境设备进行分流,实现部分设备的代理。
总的来说旁路由有优也有缺,大家应根据自身的网络环境来进行对应方案的搭建。就我而言这套方案已经完美的解决了我需要解决的问题,在不让主路由处理过多信息导致功耗上升速度降低的同时还能对不同的设备进行分流,并且不影响智能家居等设备。虽然有人可能会说用旁路由来回解码速率慢,但就我实际体验下来并没有什么感觉,毕竟我也不需要来回传输几个G的加密数据。
这篇文章也是给大家带来一个解决思路,希望大家也能轻易的上手软路由。相信聪明的人应该能通过上面的内容能联想到一些特殊的用途了这里就不展开细讲留给大家自由发挥了。
本文首发于微信公众号CyberGua7d,严禁任何形式未经允许转载文章!!!如需转载请联系作者标明出处。
浙公网安备 33010602011771号